Ich probiere zur Zeit einige Techniken zum Scannen nach verstecktem Code aus (Trojaner / RootKits finden). Bei einer Technik (das selbe dürfte auch der RootKit-Scanner Radix machen) werden Return-Adressen auf dem Stack untersucht.
Bei einigen Services zeigt mir diese Technik bei mir unter Vista versteckten Code an - alle Services, die dies betrift, sind scheinbar mit NET Framework geproggt. Das mir ein Fehler bei der Entwicklung der Technik unterlaufen ist, schließe ich erst mal aus - da mir Radix im Prinzip das gleiche anzeigt. Hat jemand eine Ahnung, was da intern ablaufen könnte (Malware ist es mit Sicherheit nicht)?
Hier Radix:
[Blockierte Grafik: http://img6.imageshack.us/img6/6628/20179396.th.jpg]
Hier mein Test:
[Blockierte Grafik: http://img38.imageshack.us/img38/6785/64718879.th.jpg]
NET Framework und Radix
-
-
-
und radix:
usec.at - Radix Anti-Rootkit - -
Gute Idee, die haben ja ein Forum. Werde nächste Woche da mal nachfragen.
PS: Noch ein Hinweis für dich... Bei mir verursacht Radix unter Vista SP2 einiges an Problemen. Beim Scannen von Treibern gibt es Programm-Crashes und es wird ein versteckter Prozess mit einer PID angezeigt, die nie im Leben zu einem Prozess gehören kann. -
ich wollte nur den link für alle posten, die mit dem Tool nichts anfangen können, du kannst denen auch mailen, die antwort soll, so wie ich gehört habe, recht schnell erfolgen.
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!